金融領域數據安全能力體系構建方法研究
網絡安全與數據治理
趙曉令,白惠文,李安倫
中國軟件評測中心
摘要: 《中華人民共和國數據安全法》要求建立健全全流程數據安全管理制度,依照法律、法規開展數據處理活動。《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》提出了金融領域的數據安全保護總體要求、數據分類分級、數據安全保護措施等方面的要求。為了幫助金融機構落實相關國家、行業數據安全要求,提出一種基于數據安全能力成熟度模型的數據安全能力體系構建方法,從組織建設、制度流程、技術工具和人員能力四個維度分別建設數據安全能力。所提方法可以幫助金融機構全面提升數據安全防護能力,從而滿足合規需求以及自身發展需要。
中圖分類號:TP309-2文獻標識碼:ADOI:10-19358/j-issn-2097-1788-2024-05-004
引用格式:趙曉令,白惠文,李安倫.金融領域數據安全能力體系構建方法研究[J].網絡安全與數據治理,2024,43(5):27-34.
引用格式:趙曉令,白惠文,李安倫.金融領域數據安全能力體系構建方法研究[J].網絡安全與數據治理,2024,43(5):27-34.
Research on the construction method of data security capability system for financial domain
Zhao Xiaoling,Bai Huiwen,Li Anlun
China Software Test Center(CSTC)
Abstract: The Data Security Law of the People′s Republic of China requires that institutions should establish and improve a whole-process data security management system and carry out data-processing activities in accordance with the provisions of laws and regulations. The Measures for the Management of Data Security in the Business Field of the People′s Bank of China (Draft for Public Comments) puts forward the general requirements for data security protection in the financial field, data classification and grading, and data security protection measures. In order to help financial institutions implement relevant national and industry data security requirements, this paper proposes a data security capability system construction method based on Data Security Capability Maturity Model(DSMM). Building data security capabilities is carried out in four dimensions, such as organizational construction, institutional processes, technical tools and personnel capabilities, respectively. The proposed method can help financial institutions comprehensively improve their data security protection capabilities, so as to meet compliance requirements as well as their own development needs.
Key words : The Data Security Law; Data Security Capability Maturity Model; data security capability system; data security protection capabilities
引言
《中華人民共和國數據安全法》(以下簡稱《數據安全法》)要求建立健全全流程數據安全管理制度,依照法律、法規的規定開展數據處理活動。為貫徹落實《數據安全法》等國家法律、行政法規要求,加快推動自身業務監督管理職責范圍內數據安全管理的法治化建設,2023年7月《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》發布,為金融領域提供了數據安全保護總體要求、數據分類分級、數據安全保護管理措施、數據安全保護技術措施、風險監測、評估審計與事件處置措施等方面的要求。
隨著數字金融的迅猛發展、金融數據的共享開發利用不斷深化,金融數據安全治理面臨巨大挑戰,數據非法采集、數據販賣、數據篡改、數據攻擊、數據權限濫用等安全問題層出不窮[1-3]。當前金融機構的數據安全能力尚處于參差不齊的狀態[4],存在內部竊取、外部遭受網絡攻擊等各種數據安全風險,因此金融領域亟需建立健全數據安全能力體系,從而合法合規地開展數據處理活動,抵御各種潛在的網絡威脅。
本文詳細內容請下載:
http://m.jysgc.com/resource/share/2000006012
作者信息:
趙曉令,白惠文,李安倫
(中國軟件評測中心,北京100048)
此內容為AET網站原創,未經授權禁止轉載。